Solucionado: Re: sesión múltiple con un solo nombre de usuario ISE3.0 en conexión por cable

Translator · ‎09-17-2021

Hola a todos,

Digamos que he creado el usuario "café" y quiero usar el mismo nombre de usuario en varios escritorios que dot1x. autenticación, ¿es posible?

Estoy usando ISE 3.0

Gracias.

Shrijan

Translator · ‎09-17-2021

No @shrijan,

lo que dijiste, tiene sentido para mí.

Por favor, eche un vistazo a: Configure Maximum Concurrent User Sessions on ISE 2.2., busque Scenarios (Maximum Sessions per User y Maximum Session for Group).

"... ISE versión 2.2 puede detectar y crear políticas de aplicación basadas en la sesión simultánea de:

Identidad de usuario: limite el número de sesiones por usuario específico
Grupo de identidad: límite de sesiones por grupo específico
Usuario en un grupo: limite el número de sesiones por usuario,que pertenezca a un grupo específico..."

Para la identidad del usuario:

"... Para habilitar la función (Máximo de sesiones por usuario), desmarque la casilla de verificación Sesión ilimitada por usuario, que está marcada de forma predeterminada. En el campo Máximo por sesiones de usuario, configure el número de sesiones que el usuario específico puede tener en cada PSN...

Los usuarios de orígenes de identidad externos (por ejemplo, Active Directory) también se ven afectados por esta configuración..."

Para el grupo de identidad:

"... Esta configuración (Sesión máxima para grupo) aplica 2 sesiones como máximo para Grupo de identidad interna GroupTest2: Puede configurar la aplicación por grupo solo para los grupos internos..."

Para usuarios de un grupo:

". .. Estuches de esquina

Si se configura Sesiones máximas de usuario, ambas características funcionan de forma independiente. En este ejemplo, User Max Sessions se establece en 1 y Maximum Session for Group se establece en 2... Si el Usuario es miembro de más de un Grupo al mismo tiempo y las Sesiones Máximas para Grupo están configuradas para ellos, una vez conectado ISE aumenta el contador de Sesión Máxima para caché de Grupo para cada grupo al que pertenece el usuario..."

Espero que esto ayude a !!!

Ver la solución en mensaje original publicado

Translator · ‎09-17-2021

@shrijan ,

Sí es posible, no tienes que habilitar nada, por defecto el máximo de usuarios simultáneos es ilimitado (suponiendo que el usuario sea interno).

¡Espero que ayude!

Translator · ‎09-17-2021

Hola Amine,

Sí, tiene razón cuando verifiqué la sesión máxima del usuario, es ilimitada de forma predeterminada. Pero todavía no está funcionando..

Cualquier pista..

Gracias.

Saludos

Shrijan

Translator · ‎09-17-2021

@shrijan ,

¿Qué muestran los registros en vivo de RADIUS?

Translator · ‎09-17-2021

@Amine

Muestra:

Evento : Error de autenticación 5400

Motivo del error: 22089 No se permite la nueva sesión de usuario. Se ha alcanzado el límite máximo de usuarios de sesiones

Translator · ‎09-17-2021

@shrijan ,

¿Puede confirmar que no hay cambios en el usuario/grupo de Max Sessions?

¿Intentaste establecer sesiones máximas para como 10 sesiones?

Translator · ‎09-17-2021

@Amine

hmm en la pestaña Usuario en lugar de ilimitado he establecido en 1.. y en la pestaña Grupo he establecido en ilimitado.

Ahora digamos si con mi misma configuración de nombre de usuario único, si no puedo conectar varias PC con cable o dot1x, ¿cómo vienen con la misma configuración en Usuario, sesión como 1 y pestaña Grupo, sesión como ilimitada, nombre de usuario único está funcionando para 10 dispositivos móviles inalámbricos?

Gracias..

Shrijan

Translator · ‎09-17-2021

@shrijan ,

Entonces, después de cambiar a Unlimited, ¿resolvió su problema?

¿Qué método está autenticando para la tecnología inalámbrica? a través del portal de invitados ? o método tunelizar EAP ?

--

No olvides calificar las publicaciones útiles.

Translator · ‎09-17-2021

@Amine,

Todavía no lo he intentado cambiando a ilimitado. duh..

Para la autenticación inalámbrica, para AD group(Domain) estoy usando EAP y para aquellas personas que no trabajan o simplemente no están en AD, estoy usando Guest Portal.

hmm ¿Cómo es que, todavía confundido, un nombre de usuario está funcionando para inalámbrico y no para cableado con la configuración 1 sesión por usuario y sesión ilimitada en grupo?

Gracias.

Shrijan

Translator · ‎09-17-2021

@shrijan ,

Si está utilizando el Portal de Invitados (Portal de Auto-Registro o Patrocinador), vaya a Centros de Trabajo -> Acceso de Invitados -> Portal y Componentes -> Tipos de Invitados elija el Tipo de Invitado asociado con ese Portal y verifique esta opción:

--

No olvides calificar las publicaciones útiles.

Translator · ‎09-17-2021

@Amine

Gracias por la respuesta, pero parece que nos vamos del tema.

Estaba pidiendo un solo o mismo nombre de usuario que no puedo usar en una red cableada para más de un dispositivo. Para cableado he configurado 802.1x y MAB como failover.

Donde como nombre de usuario único o mismo puedo usar para móvil inalámbrico. Aunque la configuración que tengo es de 1 sesión por usuario e ilimitada para el grupo, pero aún así puedo tener varias sesiones para dispositivos móviles, lo que significa que una contraseña de nombre de usuario puede conectarse con múltiples dispositivos móviles.

Gracias.

Shrijan

Translator · ‎09-17-2021

No @shrijan,

el motivo de error 22089 es un mensaje del Diagnóstico de flujo de autenticación, consulte los Informes de operaciones > > Informes > diagnósticos > Diagnósticos AAA para obtener más detalles.

Espero que esto ayude a !!!

Translator · ‎09-17-2021

No @shrijan,

También eche un vistazo a esto: CSCvv14390 Max Sessions Limit no funciona para usuarios y grupos.

Síntoma:
"... cualquier política básica de sesión máxima se ignora, ya que permite más sesiones con la misma cuenta conectada al mismo tiempo".
Versiones afectadas conocidas:
2.4(0.911), 2.6(0.908), 2.7(0.356), 3.0(0.902)
Versiones corregidas conocidas:
3.0.0.458-Patch3, 2.7.0.356-Patch4, 2.6.0.156-Patch9, 2.4.0.357-Patch14

Espero que esto ayude a !!!

Translator · ‎09-17-2021

moraleja @Marcelo

Gracias por la información.

No estoy seguro de si esto es cierto, pero simplemente me vino a la mente y a compartir. Por favor, aconseje si así es como funciona o si esto es solo co-incidencia?

1) Usuarios de Active Directory FOR BYOD (teléfono móvil).
Estos usuarios de AD no proceden de la base de datos de grupos locales. Por lo tanto, la sesión 1 por usuario está funcionando aquí. Todos los usuarios de AD no se heredan de ningún grupo, digamos.

2) Los usuarios se heredan del grupo local.

Por lo tanto, si establecí 10 sesiones dentro del grupo, se puede usar el mismo o único nombre de usuario hasta 10 sesiones diferentes.

Por lo tanto, la sesión por usuario y la sesión por grupo funcionan por separado. ¿Es esto cierto?

Shrijan

Translator · ‎09-17-2021

No @shrijan,

lo que dijiste, tiene sentido para mí.

Por favor, eche un vistazo a: Configure Maximum Concurrent User Sessions on ISE 2.2., busque Scenarios (Maximum Sessions per User y Maximum Session for Group).

"... ISE versión 2.2 puede detectar y crear políticas de aplicación basadas en la sesión simultánea de:

Identidad de usuario: limite el número de sesiones por usuario específico
Grupo de identidad: límite de sesiones por grupo específico
Usuario en un grupo: limite el número de sesiones por usuario,que pertenezca a un grupo específico..."

Para la identidad del usuario:

"... Para habilitar la función (Máximo de sesiones por usuario), desmarque la casilla de verificación Sesión ilimitada por usuario, que está marcada de forma predeterminada. En el campo Máximo por sesiones de usuario, configure el número de sesiones que el usuario específico puede tener en cada PSN...

Los usuarios de orígenes de identidad externos (por ejemplo, Active Directory) también se ven afectados por esta configuración..."

Para el grupo de identidad:

"... Esta configuración (Sesión máxima para grupo) aplica 2 sesiones como máximo para Grupo de identidad interna GroupTest2: Puede configurar la aplicación por grupo solo para los grupos internos..."

Para usuarios de un grupo:

". .. Estuches de esquina

Si se configura Sesiones máximas de usuario, ambas características funcionan de forma independiente. En este ejemplo, User Max Sessions se establece en 1 y Maximum Session for Group se establece en 2... Si el Usuario es miembro de más de un Grupo al mismo tiempo y las Sesiones Máximas para Grupo están configuradas para ellos, una vez conectado ISE aumenta el contador de Sesión Máxima para caché de Grupo para cada grupo al que pertenece el usuario..."

Espero que esto ayude a !!!